Ideja, da platforma Android ni varna, je priljubljena in vztrajna. In zelo verjetno narobe.
Komaj teden dni mine brez novega naslova o sveže odkriti ranljivosti ali novi zlonamerni programski opremi, ki prizadene milijone naprav.
Te težave še poslabša dejstvo, da Android ekosistem je zapleten. Razdrobljenost izjemno težko posodablja platformo. Množica različnih proizvajalcev naprav izdela na tisoče različnih telefonov in tablic z različnimi različicami Androida. Posledica tega je, da posodobitve z varnostnimi popravki v sebi potrebujejo mesece, da se uvedejo - ali še huje, sploh nikoli. Preveč proizvajalcev posodablja samo svoje vodilne naprave, pri čemer pušča znane ranljivosti v starejših in slabših napravah, ki bi lahko ogrozile uporabnike.
Povezano
- Google je pravkar objavil 9 novih funkcij za vaš telefon in uro Android
- Google Chrome prejema posodobitev za tablični računalnik Android, na katero ste čakali
- Google želi, da veste, da aplikacije za Android niso več samo za telefone
Razmislite o ranljivosti, kot je
Trema, ki lahko hekerjem omogoči nadzor nad napravo Android prek zlonamerne kode v zvočni ali video datoteki. Poročila kažejo, da je do 95 odstotkov naprav ranljivih. Toda koliko jih je bilo dejansko prizadetih?»Minili smo leto in pol, skoraj dve leti, odkar smo prvič izvedeli za to, in še vedno smo ne vem, da je kdo dejansko prizadet,« je za Digital povedal Adrian Ludwig, direktor Android Security. Trendi.
Zaskrbljenost je bila v tem, da je Google razmeroma hitro izdelal popravke in jih takoj uvedel v Googlovo linijo naprav Nexus. Popravi za druge naprave so izšli po lastni presoji proizvajalcev.
To pomeni, če imate a Google Pixel z najnovejšim Androidom 7.0 Nougat imate koristi od najnovejše varnosti, vendar nekdo s telefonom, ki uporablja KitKat (20 odstotkov
To je kočljiva težava, ki je ni enostavno rešiti, vendar se je ekipa za varnost Android močno potrudila, da bi zmanjšala tveganje za uporabnike. Strašljivi statistični podatki so dobri naslovi, vendar so
"Res mislim, da imamo nekoliko težave z zaznavanjem, vendar se zelo razlikuje od dejanskega tveganja uporabnika," je pojasnil Ludwig. "Kriptografsko delo, ki smo ga opravljali, peskovnik, ki smo ga izvajali, in veliko dela, da bi otežili izkoriščanje, se vse lepo združuje."
Digital Trends se je pogovarjal z Ludwigom o Googlovih klepetalnicah »Hangouts«, da bi ugotovil trenutno stanje varnosti Androida in vprašal, ali bi morali ljudje res bodite zaskrbljeni zaradi glavnih ranljivosti in zlonamerne programske opreme ter izvedeli, kaj Google počne glede razdrobljenosti, da bi omogočil širšo varnost posodobitve.
Digitalni trendi: Ali je Android res nevaren?
Adrian Ludwig: Ne, ni negotovo. Naredili smo veliko stvari, ki so v zadnjih nekaj letih premaknile pričakovanja naprej.
Za Mac ali Windows ste morali imeti protivirusno zaščito tretje osebe, vendar smo rekli, da bomo to storili za vse in da bo brezplačno.
Peskovnik aplikacij je razmeroma nov koncept v svetu varnosti Android – ideja, da aplikacije nimajo dostopa do vseh vaših uporabniških podatkov, vendar le dostop do njihovih podatkov je popolnoma nov, ni nekaj, kar obstaja na Macu, ni nekaj, kar obstaja na Windows.
"Imamo nekaj težav z zaznavanjem, vendar se zelo razlikuje od dejanskega tveganja uporabnika."
Potem je tu še šifriranje naprave. Večina podjetij ga nima ves čas vklopljenega. V mobilnem prostoru je bilo postavljeno pričakovanje, da mora biti vse ves čas šifrirano, in obstaja celo pričakovanje, da je bodo tako dobro šifrirani, da bo celo za sofisticiran napad težko dobiti dostop do teh podatkov brez uporabnika pooblastilo.
Naučili smo se tudi veliko o tem, kako slabi akterji delujejo in kaj poskušajo narediti, in zdaj smo na prelomnici. Prvih nekaj let smo se učili, gradili svoje razumevanje in izboljševali naš tehnološki sklop. Zdaj lahko sledimo slabim igralcem. Stopnje zlonamerne programske opreme so na primer v zadnjih treh ali štirih letih razmeroma enake, vendar mislim, da je to leto, ko smo videli bomo njihov upad, morda precej upad, ker smo prišli do točke, ko imamo dovolj spretnosti in izkušnje. Zdaj se lahko premikamo hitreje kot akterji, jih ujamemo prej in ukrepamo učinkoviteje v celotnem ekosistemu, kot smo lahko prej.
Mislim, da smo na prelomnici, ko bomo tudi po standardih Androida začeli opažati precejšnje izboljšave v zvezi z zlonamerno programsko opremo.
Še vedno je treba narediti več, vendar je zlahka pozabiti, kako daleč smo prišli v zadnjih petih letih.
Vidimo veliko poročil o ranljivostih z zastrašujočo statistiko. Kakšno je realno tveganje, da bo vaša naprava Android zlorabljena ali ugrabljena? Na primer, nekaj, kot je Stagefright, naj bi potencialno vplivalo na 95 odstotkov
Tukaj smo leto in pol, skoraj dve leti, odkar smo prvič izvedeli za to, in še vedno ne vemo, da je kdo dejansko prizadet. Obstajajo govorice, da bi lahko bilo prizadeto majhno število naprav, vendar tudi za tiste nimamo nobenih utemeljenih dokazov.
In verjemite mi, kadar koli slišimo takšne govorice, jih poskušamo pregnati. Gremo se pogovoriti s podjetjem, ki daje to izjavo. Sprašujemo, ali obstajajo podatki, ki jih lahko delijo. Nikoli nam ni uspelo utemeljiti nobene od teh številk. Zagotovo lahko rečem, da ni bilo prizadetih 900 milijonov naprav.
Vsekakor so bili naslovi v časopisih in navdušenje nesorazmerni z resničnostjo in mogoče je, da ni bil nihče prizadet. Kar se mi zdi neverjetno, tudi ko sam gledam nazaj, me vedno skrbi, da morda obstaja nekaj, česar ne vidiš, toda zdi se, da je čas tisti, ki razkrije te slepe pege.
Zadnjih šest let delam na varnosti Androida in vsakič, ko pogledate na področje, kjer je nekdo rekel "to je slepa pega", ne najdemo ničesar. Torej, na začetku je bilo "v Googlu Play na tone in tone zlonamerne programske opreme" in pogledali smo, nekaj jih je bilo, in smo jih odstranili. Potem slišimo "to je zunaj Google Play," pogledamo, nekaj jih je, postavimo precej dobre zaščite. Potem pa "bo drugo leto plezalo" in tudi to se ni zgodilo. Zdaj, "izkoriščale se bodo ranljivosti", vendar tega ne vidimo.
Vedno znova se pomikamo naprej glede tega, kje iščemo, in pregledov, ki jih izvajamo, ter storitev, ki jih zagotavljamo, da iščemo slabe akterje, vendar preprosto ne vidimo nobene dejanske škode.
Kljub temu želimo biti čim bolj previdni, zato vlagamo v storitve za iskanje v vseh teh majhnih temnih uličicah. Prav tako sodelujemo s partnerji, da zagotovimo, da se lahko čim hitreje odzovejo, zato smo veliko vložili v varnostne posodobitve, ne zato, ker smo priča veliko dejanskega izkoriščanja, ampak zato, ker ne želimo, da bi to bilo kdaj tveganje spoznal.
V veliki meri gre za to, da ostanemo v prednosti in nikoli ne pridemo do točke, kjer bi se pojavila težava.
Zakaj mislite, da se ta pripoved o tem, da je Android "strupena peklenska mešanica" ranljivosti, vztraja?
Obstaja nekaj razlogov. Eno je, da je zapletenost pogosto zelo strašljiva in da je pripoved o ekosistemu Android zapletena. V ekosistemu je veliko različnih proizvajalcev originalne opreme [proizvajalcev telefonov in tabličnih računalnikov], veliko različnih modelov naprav.
"[Strojno učenje] je eden glavnih razlogov, zakaj bomo prehiteli napadalce."
Težko je zelo jedrnato opisati, kaj se dogaja v ekosistemu Android, podobno kot je zelo težko opisati človeško anatomijo ali populacijo človeštva. Ampak to vemo medicina se izboljšuje, in vemo, da ljudje živimo dlje. Vemo, da ljudje postajamo bolj zdravi, vendar še vedno beremo veliko zgodb o ljudeh, ki umirajo, slabih stvareh in boleznih.
Mislim, da je to ogledalo tega, kar se dogaja v ekosistemu Android. Zapleteno je, zato pogosto ni zadovoljivega, izjemno preprostega odgovora, a na splošno postaja vse bolj varno in robustno.
Vidimo tudi veliko zgodb o zlonamerni programski opremi, toda ali je povprečen uporabnik Androida, ki nikoli ne prenaša aplikacij izven Trgovine Play, v nevarnosti?
Iz Playa je število zlonamerne programske opreme približno 0,05 odstotka, kar je 5 od 10.000 aplikacij, tako da je to precej nizko. Kar zadeva odstotek naprav, ki se okužijo, je to v razponu, kjer, če o tem ne bi govorili, nihče ne bi vedel, da se to sploh dogaja.
O tem govorimo, da zagotovimo preglednost glede stopnje tveganja. Platforme pogosto ne želijo govoriti o stvareh. Zamižijo na eno oko. Radi imamo preglednost zunanjih akterjev ter naših politik in procesov, da lahko zgradimo zaupanje. Nočemo, da ljudje slepo zaupajo.
Predvidevam, da je v ekosistemu Android trgovina Play najčistejša trgovina z aplikacijami. Predstavljam si, da se podobno primerja z drugimi trgovinami z aplikacijami z bolj zaprtimi ekosistemi. [Menimo, da Adrian misli na Apple App Store.]
Glede na to, da smo o tem razpravljali s številnimi ljudmi, anekdotično ne poznamo nikogar, ki bi imel težave z zlonamerno programsko opremo Android, vendar sem imel sam težave z Windows. Zakaj vsi govorijo o
Mislim, da smo se zlonamerne programske opreme Windows naveličali, zato o njej ni več zabavno govoriti. Android je bil nekaj novega, vznemirljivega.
Vse, kar sem videl, to kaže v ekosistemu Android. Na stotine milijonov naprav, ki se namestijo iz Googla Play, je za red velikosti čistejših od upravljane poslovne flote naprav Windows. Naša stopnja okužbe je globalno pol odstotka, pri čemer je za upravljane naprave Windows višja, za gospodinjstva potrošnikov pa je stopnja okužbe za naprave Windows še višja.
Toda Android je vznemirljiv. To je rastoči trg. To je rastoči trg za potrošnike, vendar menim, da je to tudi rastoči trg za varnostno industrijo, zato jih zelo zanima, da se ljudje zavedajo in razmišljajo o teh stvareh. To je oblika komunikacije okoli platforme.
Ko najdete zlonamerno programsko opremo, katera vrsta je najpogostejša?
Večina tega, kar vidimo, je komercialne narave. Običajno poskušajo zaslužiti denar in mehanizem za monetizacijo na mobilnih napravah je namestitev aplikacij. Vidimo nišne primere aplikacij, ki iščejo bančna gesla ali podobne stvari, vendar je najpreprostejši način monetizacije namestitev aplikacije. Zelo velik odstotek je povezan s tako imenovanimi sovražnimi prenašalci.
Zanimivo je, da aplikacije, ki jih namestijo, same po sebi niso škodljive. Morda gre za igro, ki si prizadeva za promocijo, ali pa za drugo storitev, kjer imajo koristi od distribucije na trgu. Končni rezultat niso stvari, na katere ljudje pomislijo, ko pomislijo na zlonamerno programsko opremo. Pogosto ne poskuša nekdo ukrasti vaših podatkov.
tam je vohunska programska oprema. Nočem trditi, da ne obstaja. Ta teden smo celo objavili objavo, v kateri smo opisali zelo vrhunsko vohunsko programsko opremo, ki smo jo našli, vendar je bila na 25 napravah. To zagotovo ni vrsta stvari, ki je običajna ali najbolj priljubljena v celotnem ekosistemu.
Ali je v Androidu kaj manj varnega v primerjavi z drugimi mobilnimi operacijskimi sistemi?
Mislim, da na platformi ni nič manj varnega. Mislim, da je zaradi kompleksnosti težje podajati izjave na ravni platforme.
Ljudje radi primerjajo iPhone z Androidom. IPhone je naprava z operacijskim sistemom proizvajalca, pravzaprav gre za pet različnih naprav. Če pogledate enega proizvajalca iz
Morda bi bila bolj poštena primerjava linij Pixel in Nexus z iPhoneom?
Da, strojno zelo podobno – podobne varnostne lastnosti. Trgovine z aplikacijami imajo podobne varnostne lastnosti, preverjene aplikacije, izolacijo aplikacij – zelo podobne varnostne lastnosti. Oba sta zavezana k hitrim posodobitvam.
"Če primerjamo Samsung z iOS-om, ste že približno 20-krat bolj zapleteni, kar zadeva to napravo v primerjavi s tisto napravo."
Kjer pridete do diferenciacije, je preglednost. Android je odprtokoden. Te informacije so na voljo vsem. Z našim programom varnostnih nagrad spodbujamo raziskave tretjih oseb, zato vemo, da ne le to ali iščemo težave v platformi, vendar jih iščejo tudi drugi ljudje, kar je pomembno Razlika.
Mislim, da tudi storitve naredijo veliko razliko. Namenoma smo zasnovali vidnost in možnost preverjanja naprav na terenu, medtem ko to ne obstaja na nobeni drugi platformi. To pomeni, da dobimo povratne informacije o številnih majhnih stvareh, ki se dogajajo, in se lahko nanje odzovemo.
Kako se borite proti počasnemu uvajanju varnostnih posodobitev za naprave Android, ki niso na zalogi? Je frustrirajoče?
Resnično cenimo, koliko ljudi je sprejelo Android in koliko naprav ga je
V zadnjem letu smo porabili veliko časa, da bi poskušali pomagati tistim, ki se premikajo počasneje, da bi rešili nekatere svoje tehnološke izzive, rešiti nekatere svoje inženirske izzive in v nekaterih primerih svoje organizacijske izzive izzivi. Morda nimajo inženirjev za zagotavljanje posodobitev. Morda o tem niso razmišljali, zato vas sprašujemo, kaj lahko storimo, da vas pripeljemo do točke, ko ste o tem razmišljali in je to smiselno?
To vsekakor naredi stvari bolj zapletene, vendar je tudi v središču, zakaj je bil Android tako uspešen, ker je veliko različnih ljudi lahko skočilo in začelo izdelovati naprave.
Kaj je sprejela ekipa za Android, da bi platforma postala varnejša? In katero je naslednje področje, ki bi se ga radi lotili ali izboljšali?
Mislim, da se vsi kosi zelo lepo sestavljajo. To je bilo večletno potovanje, a kriptografsko delo, ki smo ga opravljali, peskovnik, ki smo ga izvajali, veliko delo, da bi otežili izkoriščanje, se vse dobro združuje, tako da so to področja, na katerih bomo še naprej delali na.
Zakaj je peskovnik pomemben?
Pri peskovniku na osnovni ravni gre za to, kako izolirate eno aplikacijo od druge. Igra je odličen primer, kjer ljudje ne razmišljajo o njej, toda na osebnem računalniku so igre pogosto povezane v omrežje. So ena redkih stvari na tovrstni napravi, ki ima storitev omrežnih vrat, tako da je to ena najstrašnejših kosov programske opreme, ki jo uporabljate na večini potrošniških naprav. Če ogrozite igro, je avtor igre morda povsem dobronameren, vendar ima ta igra dostop do vsega v vašem računalniku.
Medtem ko v Androidu to sploh ni tako. Nato morate ogroziti tudi osnovni operacijski sistem, da lahko presežete to. Za nas je bilo to res, zelo pomembno, da zagotovimo, da morate vedno ogroziti Googlovo kodo, Androidovo kodo, da pridete do točke, ko lahko storite nekaj, kar resnično škodi uporabniku.
Kako pomemben je raziskovalni program tretjih oseb za iskanje hroščev in ranljivosti?
Pravzaprav je zelo pomembno. Lani smo raziskovalcem plačali skoraj milijon dolarjev. Mislim, da je približno 120 različnih raziskovalcev odkrilo težave in nam jih prijavilo. Vsak mesec jih pride na desetine, zato je za nas zelo pomembno.
Ena stvar, ki se je dejansko zgodila in je res zanimiva, je, da smo začeli dobivati vse več poročil o težavah, ne v Androidu, ampak v drugih komponentah, ki so v napravi. Ta teden je na primer prišlo do poročila o težavi v gonilnikih Wi-Fi podjetja Broadcom, ki je prizadela
Ali strojno učenje začenja igrati vlogo? Ali imate dovolj podatkov, da bi bilo učinkovito?
Zdaj imamo ogromno podatkov in začeli smo iskati nekaj tehnik strojnega učenja, ki zelo dobro delujejo za različne vrste stvari. Ena stvar, pri kateri strojno učenje deluje zelo dobro, je iskanje drugih aplikacij, ki so prav tako zlonamerna programska oprema. Ko najdemo eno slabo aplikacijo, bomo morda isti dan lahko odstranili tisoč ali več aplikacij, za katere vemo, da so povezane na podlagi tehnik strojnega učenja.
In pričakujete, da se bo to sčasoma izboljšalo? Očitno se uči, zato bi moralo biti boljše?
"Strojno učenje nam omogoča veliko hitrejši razvoj zaščitnih zmogljivosti."
To je eden od glavnih razlogov, da bomo v naslednjih nekaj letih prehiteli napadalce. Strojno učenje nam omogoča, da razvijemo zaščitne sposobnosti veliko hitreje, kot lahko človek izboljša svoje skrivanje, zato je bila zlonamerna programska oprema v preteklosti vztrajna – ker jo lahko skrijejo že zelo majhne spremembe učinkovito. To ne bo več tako.
Ali poostritev varnosti pomeni izgubo dela odprtosti in prilagodljivosti, zaradi katerih je Android postal najbolj priljubljen mobilni OS na svetu?
Sploh ne. Odprtost, prilagodljivost in varnost Androida so med njegovimi največjimi prednostmi. Menimo, da je mogoče še naprej izboljševati vse tri.
Ko se soočimo s funkcijo, ki na videz postavlja ta načela v nasprotje, se bomo zelo potrudili, da bi našli uravnotežen pristop. Ena pogosta strategija je, da je privzeta vrednost bolj varna (za zaščito čim večjega števila uporabnikov), medtem ko uporabnikom omogoča izbiro (za omogočanje prilagajanja).
Enako počnemo z proizvajalci originalne opreme [izdelovalci naprav], pri čemer definiramo varnostni model, ki je robusten, hkrati pa ponuja nešteto priložnosti za inovacije in prilagajanje. Raznolikost, ki iz tega izhaja, je sama po sebi izboljšava varnosti, saj je znano, da so monokulture bolj dovzetne za sistemska tveganja. In v nekaterih primerih ta prilagoditev vodi do inovativnih izboljšav varnosti, kar je dobro za ekosistem.
Ali menite, da so potrebne protivirusne, zlonamerne programske opreme in druge varnostne aplikacije za Android tretjih oseb?
Zavezani smo k temu, da bo brezplačna zaščita, ki jo ponuja Google Play, najboljša zaščita na svetu. Menimo, da nam je to že uspelo, in še naprej bomo objavljali informacije, ki bodo drugim omogočile, da jih dvakrat preverijo in potrdijo sami.
Kaj bi svetovali uporabniku Androida, ki ga skrbi varnost? Katera dejanja jih lahko ogrožajo in kaj lahko storijo, da ostanejo varni?
V centru za pomoč smo objavili članek o tej temi, tukaj.
Priporočila urednikov
- Vaš paket Google One je pravkar dobil 2 veliki varnostni posodobitvi, da boste varni v spletu
- Kdaj bo moj telefon dobil Android 13? Google, Samsung, OnePlus in drugi
- Google bo zaradi nezakonitega sledenja telefonom Android plačal zgodovinsko kazen v višini 85 milijonov dolarjev
- Android 13 je tukaj in ga lahko zdaj prenesete na svoj telefon Pixel
- Z optimiziranimi aplikacijami bodo tablice Android končno več kot le veliki telefoni
